مدل بومی ارزیابی ریسک سایبری ویژه بانک‌های ایرانی

با رشد روزافزون خدمات بانکداری دیجیتال و مهاجرت بانک‌های ایرانی به سمت ارائه خدمات غیرحضوری، سطح حملات سایبری علیه زیرساخت‌های بانکی به شکل قابل توجهی افزایش یافته است. بانک‌ها به عنوان یکی از جذاب‌ترین اهداف برای مهاجمان سایبری شناخته می‌شوند، چرا که در کنار مدیریت مالی کاربران، حجم عظیمی از داده‌های حساس را نیز در اختیار دارند.

با توجه به شدت و گستردگی تهدیدات، بانک‌های ایران ملزم به استقرار نظام‌های پیشرفته ارزیابی و مدیریت ریسک سایبری هستند. با وجود وجود استانداردهای بین‌المللی مانند ISO/IEC 27005، NIST SP 800-30 و مدل FAIR، اما استفاده مستقیم از این چارچوب‌ها در محیط بومی کشور ما، به‌ویژه با در نظر گرفتن الزامات خاص بانک مرکزی جمهوری اسلامی ایران، با محدودیت‌هایی مواجه است.

در این مقاله، با بررسی چالش‌ها و تفاوت‌های موجود، مدل اختصاصی ارزیابی ریسک سایبری را که متناسب با نیازهای بانک‌های ایرانی و الزامات رگولاتوری طراحی شده، معرفی خواهیم کرد.

چرا چارچوب‌های بین‌المللی برای بانک‌های ایران ناکافی هستند؟

در نگاه اول، شاید این سؤال پیش آید که چرا نباید همان چارچوب‌های شناخته‌شده بین‌المللی را در بانک‌های کشور به کار گرفت؟ پاسخ این سؤال در تفاوت‌های ساختاری، سیاسی، اقتصادی، فناوری و فرهنگی میان ایران و کشورهای توسعه‌یافته نهفته است:

عامل	وضعیت خاص بانک‌های ایران
ساختار نظارتی	بانک مرکزی ایران به‌جای پیروی صرف از NIST یا ISO، دستورالعمل‌ها و بخشنامه‌های خود را دارد.
تحریم‌های بین‌المللی	بانک‌ها امکان استفاده از بسیاری از ابزارهای امنیتی جهانی را ندارند.
فناوری بومی	بانک‌ها از CoreBanking داخلی یا نرم‌افزارهایی استفاده می‌کنند که در چارچوب‌های بین‌المللی لحاظ نشده‌اند.
تهدیدات منطقه‌ای	تهدیداتی خاص مانند APTهای فارسی‌زبان، حملات گروه‌های وابسته به دولت‌ها و فیشینگ محلی.
ساختار مدیریتی	فرآیند تصمیم‌گیری و تخصیص منابع در بسیاری از بانک‌ها دولتی یا شبه‌دولتی است.

نگاهی به الزامات بانک مرکزی ایران

بانک مرکزی طی سال‌های اخیر، مجموعه‌ای از دستورالعمل‌ها و بخشنامه‌ها را با هدف ارتقاء امنیت سایبری بانک‌ها صادر کرده است. برخی از مهم‌ترین آن‌ها عبارت‌اند از:

دستورالعمل مدیریت ریسک فناوری اطلاعات (ICT Risk)
الزامات رمز دوم پویا
سامانه کاشف برای نظارت بر تراکنش‌ها
الزام به ممیزی امنیتی توسط شرکت‌های دارای مجوز افتا
پایش و گزارش‌دهی رخدادهای امنیتی به نهاد ناظر

این مقررات، مدل خاصی از ارزیابی ریسک را طلب می‌کنند که در آن هم الزامات ناظر رعایت شود، هم قابل پیاده‌سازی در محیط فناوری بومی باشد.

ساختار مدل ارزیابی ریسک سایبری اختصاصی برای بانک‌های ایران

مدل پیشنهادی از ۸ فاز تشکیل شده است که کاملاً با الزامات بانک مرکزی و نیازهای بانک‌های ایرانی منطبق است:

1. شناسایی و طبقه‌بندی دارایی‌ها (Asset Identification)

در گام نخست باید تمام دارایی‌های حیاتی شناسایی شوند. این دارایی‌ها می‌توانند شامل موارد زیر باشند:

سامانه CoreBanking
سوییچ کارت و شبکه شتاب
پلتفرم‌های بانکداری آنلاین و موبایل‌بانک
زیرساخت ارتباطی SWIFT
دیتابیس مشتریان و تراکنش‌ها
سیستم‌های پشتیبان‌گیری و Disaster Recovery

این طبقه‌بندی باید بر اساس اهمیت، حساسیت اطلاعات، میزان تأثیر در صورت اختلال، و الزامات رگولاتوری انجام شود.

2. تحلیل تهدیدات بومی (Threat Identification)

برخلاف رویکردهای عمومی، در بانک‌های ایرانی باید تهدیدات زیر به‌طور خاص در نظر گرفته شوند:

حملات APT بومی (Advanced Persistent Threats)
نشت اطلاعات از اپراتورهای انسانی یا پیمانکاران
فیشینگ فارسی‌زبان از طریق پیام‌رسان‌های داخلی
سوءاستفاده از برنامه‌های بانکی غیررسمی در مارکت‌های داخلی
نفوذ از طریق سامانه‌های HVAC، CCTV، یا VOIP بانک‌ها

3. تحلیل آسیب‌پذیری‌ها (Vulnerability Assessment)

در این بخش تمرکز بر آسیب‌پذیری‌های ناشی از موارد زیر است:

عدم به‌روزرسانی CoreBanking بومی
اتصال ناایمن میان سیستم‌های بانکی داخلی
وجود حساب‌های Admin پیش‌فرض یا بدون MFA
پشتیبانی ناقص از رمزنگاری End-to-End در سیستم‌های ارتباطی

4. مدل‌سازی سناریوهای حمله (Attack Scenario Modeling)

برای درک بهتر از تهدیدات واقعی، باید سناریوهایی طراحی شوند، مانند:

سناریو	4G مسیر حمله	نتیجه احتمالی
نفوذ از طریق پشتیبان‌گیری آسیب‌پذیر	فایل مخرب → ورود به شبکه داخلی → رمزگذاری داده‌ها	اختلال گسترده در CoreBanking
حمله از طریق فیشینگ داخلی	ارسال لینک جعلی به کارمند شعبه → سرقت رمز دسترسی	انتقال وجه غیرمجاز

5. تحلیل احتمال و تأثیر (Likelihood & Impact)

در این فاز، برای هر تهدید، ترکیب احتمال وقوع و میزان تأثیر تحلیل می‌شود و سطح ریسک نهایی به‌دست می‌آید.

6. تحلیل انطباق با مقررات بانک مرکزی (Regulatory Gap Analysis)

در این مرحله بررسی می‌شود که آیا سیاست‌ها، کنترل‌ها و فرآیندهای فعلی بانک با الزامات بانک مرکزی همخوانی دارد یا خیر.

7. برنامه‌ریزی کاهش ریسک (Risk Treatment Plan)

خروجی این مرحله شامل:

پیشنهاد اقدامات اصلاحی
زمان‌بندی اجرا
تخصیص مسئولیت به واحدهای داخلی
بودجه تقریبی مورد نیاز

8. مانیتورینگ و بازبینی دوره‌ای

مدل باید طوری طراحی شود که ارزیابی ریسک به صورت چرخه‌ای و پیوسته (Continuous Risk Assessment) ادامه یابد.

تفاوت این مدل با مدل‌های کلاسیک

ویژگی	مدل‌های بین‌المللی	مدل پیشنهادی برای ایران
انطباق با بانک مرکزی	محدود	کامل
پوشش فناوری بومی	کم	بالا
تحلیل تهدیدات خاص منطقه	ندارد	دارد
امکان اجرا با منابع داخلی	گاهی دشوار	بله
الزامات گزارش‌دهی داخلی	پشتیبانی نمی‌شود	بله

چالش‌های پیاده‌سازی در بانک‌های ایران

ضعف در آموزش کارکنان غیرفنی
هزینه‌بر بودن اصلاحات ساختاری
نبود ابزارهای SIEM بومی با قابلیت بالا
مقاومت مدیران سنتی در برابر تغییر
ناهماهنگی بین تیم‌های فناوری، امنیت و عملیات بانکی

مثال واقعی از اجرای مدل در یک بانک فرضی

در یک پروژه پایلوت، بانک X با ۱۲ شعبه در سطح کشور، مدل بومی‌سازی‌شده را با کمک تیم امنیت رایکا پیاده کرد. در جریان این ارزیابی:

۵۲ دارایی حیاتی شناسایی شد
۱۳ سناریوی حمله محتمل مدل‌سازی شد
ریسک ۳ تهدید در سطح بحرانی شناسایی شد
طرح کاهش ریسک برای هر واحد عملیاتی طراحی شد
گزارش نهایی برای ارائه به بانک مرکزی مستندسازی شد

نقش امن‌افزار رایکا در پیاده‌سازی این مدل

امن‌افزار رایکا با در اختیار داشتن تیمی متشکل از کارشناسان امنیت اطلاعات، تحلیل‌گران ریسک، و متخصصان مقررات بانکی، خدمات زیر را ارائه می‌دهد:

✅ طراحی مدل اختصاصی ریسک سایبری برای بانک‌ها
✅ اجرای کامل فازهای شناسایی، ارزیابی، مدل‌سازی و کاهش ریسک
✅ تهیه مستندات و گزارش‌های رسمی قابل ارائه به بانک مرکزی
✅ مشاوره رایگان اولیه برای بررسی وضعیت موجود
✅ برگزاری کارگاه آموزشی برای تیم‌های امنیت داخلی بانک

اگر بانک یا مؤسسه مالی هستید و به دنبال یک ارزیابی تخصصی، منطبق با مقررات داخلی و قابل اجرا هستید، با ما در امن‌افزار رایکا تماس بگیرید.
مشاوره اولیه رایگان است.